Discussion:
ISA Server 2006 sicher über RADIUS mit NPS kommunizieren lassen
(zu alt für eine Antwort)
Thomas Lambertz
2009-11-20 10:54:11 UTC
Permalink
Hallo Community,

ich habe bei mir folgende Konstellation:

Unsere User nutzen einen ISA Server 2006 Standard als Webproxy, um im
Internet zu surfen. Der Server steht in unserer DMZ (da er hier auch andere
Aufgaben wahrnehmen muss) und ist somit kein Domänenmitglied in unserem
internen LAN.

Beim Zugriff auf das Web müssen sich die User anhand ihres Domänenaccounts
authentifzieren. Damit der ISA-Server den Zugriff aus der DMZ gewähren kann,
habe ich in unserem internen LAN einen NPS-Server als RADIUS-Server
aufgesetzt, der die Anfragen des ISA Servers aus der DMZ annimmt und für ihn
prüft.

Der ganze Ablauf funktioniert. Allerdings erlaubt der ISA Server als
Webproxyclient nur die Verwendung von PAP, um mit dem sich
authentifizierenden Host zu kommunizieren. Da hier die Anmeldeinformationen
im Klartext übermittelt werden, empfinde ich diese Lösung jedoch als nicht
befriedigend.

Welche Möglichkeiten bestehen, den Ablauf sicherer zu gestalten? Ist das mit
dem ISA Server in der DMZ überhaupt vernünftig lösbar oder sollte besser ein
zweiter ISA im internen LAN aufgesetzt werden, der dann auch Domänenmitglied
ist und direkt mit dem DC über Kerberos kommunizieren kann.

Bin gespannt auf eure Antworten

Gruß
Thomas
Jens Baier
2009-11-20 11:01:48 UTC
Permalink
Hi,
Post by Thomas Lambertz
Der ganze Ablauf funktioniert. Allerdings erlaubt der ISA Server als
Webproxyclient nur die Verwendung von PAP, um mit dem sich
ja,leider!
Post by Thomas Lambertz
authentifizierenden Host zu kommunizieren. Da hier die
Anmeldeinformationen im Klartext übermittelt werden, empfinde ich diese
Lösung jedoch als nicht befriedigend.
RADIUS ueber IPSEC ist die einzige Loesung, welche ich eingesetzt habe
Post by Thomas Lambertz
Welche Möglichkeiten bestehen, den Ablauf sicherer zu gestalten? Ist das
mit dem ISA Server in der DMZ überhaupt vernünftig lösbar oder sollte
besser ein zweiter ISA im internen LAN aufgesetzt werden, der dann auch
Domänenmitglied ist und direkt mit dem DC über Kerberos kommunizieren
kann.
aus meiner Sicht spricht nichts dagegen, den ISA in die Domaene zu bringen.
http://blogs.isaserver.org/shinder/2007/07/24/domain-membership-of-isa-firewalls-enhances-sox-compliance/
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
unknown
2009-11-20 11:48:52 UTC
Permalink
huhu thomas,
Post by Jens Baier
aus meiner Sicht spricht nichts dagegen, den ISA in die Domaene zu bringen.
http://blogs.isaserver.org/shinder/2007/07/24/domain-membership-of-isa-firewalls-enhances-sox-compliance/
bin ich der gleichen meinung wie jens, siehe dazu auch hier:
http://www.isaserver.org/tutorials/Debunking-Myth-that-ISA-Firewall-Should-Not-Domain-Member.html
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Loading...